أبلغ المسجل APNIC ، المسؤول عن تخصيص عناوين IP في منطقة آسيا والمحيط الهادئ ، عن حادث أصبح فيه تفريغ Whois SQL الذي يحتوي على بيانات حساسة وتجزئة كلمة المرور متاحًا للجمهور. من الجدير بالذكر أن هذا ليس أول تسرب للبيانات الشخصية في APNIC - في عام 2017 ، كانت قاعدة بيانات Whois بالفعل في المجال العام وأيضًا بسبب إشراف الموظفين.
في عملية تنفيذ الدعم لبروتوكول RDAP ، المصمم ليحل محل بروتوكول WHOIS ، وضع موظفو APNIC تفريغ SQL لقاعدة البيانات المستخدمة في خدمة Whois في Google Cloud ، لكنهم لم يقيدوا الوصول إليها. بسبب خطأ في الإعدادات ، كان تفريغ SQL متاحًا للجمهور لمدة ثلاثة أشهر ، ولم يتم الكشف عن هذه الحقيقة إلا في 4 يونيو ، عندما لفت أحد الباحثين الأمنيين المستقلين الانتباه إلى ذلك وأبلغ المسجل بالمشكلة.
احتوى تفريغ SQL على سمات "المصادقة" التي تحتوي على تجزئات كلمة المرور لتعديل كائنات الصيانة وفريق الاستجابة للحوادث (IRT) ، بالإضافة إلى بعض المعلومات الحساسة حول العملاء التي لا يتم عرضها في Whois أثناء الاستعلامات العادية (عادةً ما تكون هذه تفاصيل وملاحظات اتصال إضافية عن المستخدم). في حالة استعادة كلمة المرور ، تمكن المهاجمون من تغيير محتويات الحقول باستخدام معلمات مالكي كتل عناوين IP في Whois. يحدد كائن Maintainer الشخص المسؤول عن تغيير مجموعة السجلات المرتبطة من خلال السمة "mnt-by" ، ويحتوي كائن IRT على تفاصيل الاتصال بالمسؤولين الذين يستجيبون لإخطارات المشكلة. لم يتم توفير معلومات حول خوارزمية تجزئة كلمة المرور المستخدمة ، ولكن في عام 2017 ، تم استخدام خوارزميات MD5 و CRYPT-PW القديمة (كلمات مرور مكونة من 8 أحرف مع تجزئات تستند إلى وظيفة تشفير UNIX) للتجزئة.
بعد اكتشاف الحادث ، بدأت APNIC في إعادة تعيين كلمات المرور للكائنات في Whois. من جانب APNIC ، لم يتم العثور على علامات الإجراءات غير المشروعة حتى الآن ، ولكن لا توجد ضمانات بأن البيانات لم تقع في أيدي المتسللين ، نظرًا لعدم وجود سجلات وصول كاملة إلى الملفات في Google Cloud. كما بعد الحادث الأخير ، وعد APNIC بإجراء تدقيق وإجراء تغييرات على العمليات التكنولوجية من أجل منع مثل هذه التسريبات في المستقبل.
المصدر: opennet.ru